RogueOne

简介:您的 SIEM 系统在不到一分钟的时间内生成了多个警报,表明 Simon Stark 的工作站可能存在 C2 通信。尽管 Simon 没有注意到任何异常情况,但 IT 团队还是让他分享了任务管理器的屏幕截图,以检查是否有任何异常流程。未发现可疑进程,但有关 C2 通信的警报仍然存在。然后,SOC 经理指示立即收容工作站和内存转储以进行分析。作为记忆取证专家,您的任务是协助 Forela 的 SOC 团队调查和解决这一紧急事件。

Task 1

题目:请识别恶意进程并确认恶意进程的进程ID。

首先,让我们使用imageinfo插件找到配置文件以开始我们的Invistigation

1
vol.py -f 20230810.mem imageinfo > imageinfo.txt

image-20240409201406319

image-20240409201413620

发现Suggested Profile(s) : Win10x64_19041配置文件

列出所有进程并检查是否有恶意进程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
vol.py -f 20230810.mem --profile=Win10x64_19041 pslist
Volatility Foundation Volatility Framework 2.6.1
Offset(V)          Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit

------------------ -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0xffff9e8b87680040 System                    4      0    225        0 ------      0 2023-08-10 11:13:38 UTC+0000
0xffff9e8b876ce080 Registry                140      4      4        0 ------      0 2023-08-10 11:13:32 UTC+0000
0xffff9e8b8843f040 smss.exe                436      4      2        0 ------      0 2023-08-10 11:13:38 UTC+0000
0xffff9e8b882f8140 csrss.exe               564    548     13        0      0      0 2023-08-10 11:13:41 UTC+0000
0xffff9e8b893eb140 csrss.exe               644    636     14        0      1      0 2023-08-10 11:13:41 UTC+0000
0xffff9e8b89416080 wininit.exe             656    548      1        0      0      0 2023-08-10 11:13:41 UTC+0000
0xffff9e8b89441080 winlogon.exe            744    636      4        0      1      0 2023-08-10 11:13:42 UTC+0000
0xffff9e8b8949e080 services.exe            788    656     10        0      0      0 2023-08-10 11:13:42 UTC+0000
0xffff9e8b894a2080 lsass.exe               808    656     12        0      0      0 2023-08-10 11:13:42 UTC+0000
0xffff9e8b89527240 svchost.exe             928    788     13        0      0      0 2023-08-10 11:13:42 UTC+0000
0xffff9e8b89530180 fontdrvhost.exe         956    744      5        0      1      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b8952e180 fontdrvhost.exe         964    656      5        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b895a72c0 svchost.exe             512    788     11        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b895a9240 svchost.exe             864    788      6        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89c520c0 dwm.exe                1048    744     14        0      1      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89c922c0 svchost.exe            1148    788     30        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89cf4280 svchost.exe            1272    788      3        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89cf5080 svchost.exe            1280    788      4        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89cf71c0 svchost.exe            1288    788      3        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89cf91c0 svchost.exe            1296    788      4        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89cfb200 svchost.exe            1304    788      4        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89d121c0 svchost.exe            1432    788      5        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89d3e1c0 svchost.exe            1472    788      7        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89d412c0 svchost.exe            1500    788     10        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89d900c0 svchost.exe            1580    788      7        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89d94080 svchost.exe            1588    788      6        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89dab1c0 svchost.exe            1712    788      2        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89e541c0 svchost.exe            1748    788     11        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89e562c0 svchost.exe            1756    788      6        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89e70240 svchost.exe            1828    788      6        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89fbc240 svchost.exe            1980    788      3        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89fc1280 svchost.exe            1988    788      6        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89fc4080 svchost.exe            1996    788      6        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89fc2080 svchost.exe            2044    788      8        0      0      0 2023-08-10 11:13:43 UTC+0000
0xffff9e8b89f6f200 svchost.exe            2140    788      2        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a039240 svchost.exe            2168    788      2        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a038040 MemCompression         2184      4     22        0 ------      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a09c240 svchost.exe            2256    788     21        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a106280 svchost.exe            2356    788      2        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a108280 svchost.exe            2368    788      2        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a131240 svchost.exe            2476    788      5        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a18c240 svchost.exe            2588    788      4        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a2581c0 svchost.exe            2704    788      1        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a25b080 svchost.exe            2740    788     11        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a2ed300 svchost.exe            2816    788      5        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a327240 svchost.exe            2936    788      5        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a33b1c0 svchost.exe            2948    788      3        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a33d1c0 svchost.exe            2956    788      4        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a3ea240 svchost.exe            2644    788      2        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a42f240 svchost.exe            3108    788      3        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a43f200 spoolsv.exe            3204    788      7        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a510240 svchost.exe            3316    788     10        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a5652c0 svchost.exe            3324    788      7        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a574080 svchost.exe            3352    788      1        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a5631c0 svchost.exe            3368    788     16        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a575080 svchost.exe            3376    788      3        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a562080 svchost.exe            3404    788      7        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a57a280 vmtoolsd.exe           3416    788     11        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8a578200 Sysmon64.exe           3424    788     13        0      0      0 2023-08-10 11:13:44 UTC+0000
0xffff9e8b8aac5280 WmiPrvSE.exe           4416    928     15        0      0      0 2023-08-10 11:13:45 UTC+0000
0xffff9e8b8aac8080 dllhost.exe            4440    788     10        0      0      0 2023-08-10 11:13:45 UTC+0000
0xffff9e8b8946d1c0 svchost.exe            4744    788      1        0      0      0 2023-08-10 11:13:45 UTC+0000
0xffff9e8b8aedb1c0 svchost.exe            4876    788      4        0      0      0 2023-08-10 11:13:45 UTC+0000
0xffff9e8b8a9b3300 msdtc.exe              4912    788      9        0      0      0 2023-08-10 11:13:45 UTC+0000
0xffff9e8b8b19a1c0 svchost.exe            4308    788      6        0      0      0 2023-08-10 11:13:46 UTC+0000
0xffff9e8b8b1ef280 svchost.exe            4160    788      2        0      0      0 2023-08-10 11:13:46 UTC+0000
0xffff9e8b8b2561c0 svchost.exe            1792    788      5        0      0      0 2023-08-10 11:13:46 UTC+0000
0xffff9e8b8b30a280 WmiPrvSE.exe           5292    928      4        0      0      0 2023-08-10 11:13:47 UTC+0000
0xffff9e8b8b34b240 svchost.exe            5452    788     28        0      0      0 2023-08-10 11:13:51 UTC+0000
0xffff9e8b8b4b61c0 svchost.exe            5796    788      5        0      0      0 2023-08-10 11:13:51 UTC+0000
0xffff9e8b8b4cb240 svchost.exe            5972    788     18        0      0      0 2023-08-10 11:13:52 UTC+0000
0xffff9e8b8b34a080 svchost.exe            6136    788     11        0      0      0 2023-08-10 11:13:53 UTC+0000
0xffff9e8b8b77e080 svchost.exe            5628    788      4        0      0      0 2023-08-10 11:13:53 UTC+0000
0xffff9e8b8b5ea080 svchost.exe            7008    788      6        0      0      0 2023-08-10 11:14:05 UTC+0000
0xffff9e8b8b5f0240 svchost.exe            7072    788      9        0      0      0 2023-08-10 11:14:06 UTC+0000
0xffff9e8b8b526280 MoUsoCoreWorke         7128    928     10        0      0      0 2023-08-10 11:14:06 UTC+0000
0xffff9e8b8b872280 sihost.exe             4272   1828      8        0      1      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8b9bd300 svchost.exe            4992    788     11        0      1      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8b9ce300 svchost.exe            4372    788      5        0      1      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8c45a300 taskhostw.exe          6324   1580      8        0      1      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8c42c280 svchost.exe            6692    788      3        0      0      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8c452280 ctfmon.exe             6768   6692     12        0      1      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8c608340 userinit.exe           7400    744      0 --------      1      0 2023-08-10 11:14:07 UTC+0000   2023-08-10 11:14:34 UTC+0000
0xffff9e8b8c4d2080 explorer.exe           7436   7400     75        0      1      0 2023-08-10 11:14:07 UTC+0000
0xffff9e8b8cc6e240 svchost.exe            8116    788     10        0      0      0 2023-08-10 11:14:11 UTC+0000
0xffff9e8b8c6b2080 svchost.exe            7236    788      7        0      1      0 2023-08-10 11:14:11 UTC+0000
0xffff9e8b8cd9e080 StartMenuExper         7704    928      8        0      1      0 2023-08-10 11:14:13 UTC+0000
0xffff9e8b8cee2080 svchost.exe             652    788      5        0      0      0 2023-08-10 11:14:13 UTC+0000
0xffff9e8b8cf95080 RuntimeBroker.         4380    928      3        0      1      0 2023-08-10 11:14:13 UTC+0000
0xffff9e8b89d92080 SearchApp.exe          8224    928     55        0      1      0 2023-08-10 11:14:14 UTC+0000
0xffff9e8b8caa5080 RuntimeBroker.         8488    928      8        0      1      0 2023-08-10 11:14:14 UTC+0000
0xffff9e8b9010c240 SearchIndexer.         8680    788     15        0      0      0 2023-08-10 11:14:15 UTC+0000
0xffff9e8b8cff5300 smartscreen.ex         8828    928      8        0      1      0 2023-08-10 11:14:15 UTC+0000
0xffff9e8b89c39080 RuntimeBroker.         7756    928      4        0      1      0 2023-08-10 11:14:16 UTC+0000
0xffff9e8b90554240 svchost.exe            4200    788      0 --------      0      0 2023-08-10 11:14:19 UTC+0000   2023-08-10 11:16:20 UTC+0000
0xffff9e8b907ef080 dllhost.exe            4664    928      8        0      1      0 2023-08-10 11:14:21 UTC+0000
0xffff9e8b90135340 SecurityHealth         9580   7436      1        0      1      0 2023-08-10 11:14:25 UTC+0000
0xffff9e8b8c7d6080 SecurityHealth         9612    788     11        0      0      0 2023-08-10 11:14:25 UTC+0000
0xffff9e8b8cbd5080 vmtoolsd.exe           9712   7436      9        0      1      0 2023-08-10 11:14:26 UTC+0000
0xffff9e8b92bdf080 svchost.exe            1564    788      1        0      0      0 2023-08-10 11:14:54 UTC+0000
0xffff9e8b90507080 OneDrive.exe          10044   9952      0 --------      1      1 2023-08-10 11:15:31 UTC+0000   2023-08-10 11:15:37 UTC+0000
0xffff9e8b911e5080 SgrmBroker.exe        10176    788      7        0      0      0 2023-08-10 11:15:45 UTC+0000
0xffff9e8b930402c0 uhssvc.exe             1396    788      3        0      0      0 2023-08-10 11:15:45 UTC+0000
0xffff9e8b92f1c340 svchost.exe           10072    788      9        0      0      0 2023-08-10 11:15:45 UTC+0000
0xffff9e8b92ddd340 svchost.exe            7416    788      1        0      1      0 2023-08-10 11:15:45 UTC+0000
0xffff9e8b9050d080 TextInputHost.         3024    928      9        0      1      0 2023-08-10 11:17:11 UTC+0000
0xffff9e8b8c74c080 GoogleUpdate.e         4112   1580      3        0      0      1 2023-08-10 11:20:19 UTC+0000
0xffff9e8b92bdb0c0 WinRAR.exe             5864   7436      5        0      1      0 2023-08-10 11:20:21 UTC+0000
0xffff9e8b8b4cc080 msedgewebview2         1576   5864     47        0      1      0 2023-08-10 11:20:21 UTC+0000
0xffff9e8b8cf97080 msedgewebview2         2728   1576      7        0      1      0 2023-08-10 11:20:21 UTC+0000
0xffff9e8b8a74f080 msedgewebview2         1616   1576     22        0      1      0 2023-08-10 11:20:25 UTC+0000
0xffff9e8b8b8dc080 msedgewebview2         2284   1576     14        0      1      0 2023-08-10 11:20:25 UTC+0000
0xffff9e8b8aa85080 msedgewebview2         1552   1576      8        0      1      0 2023-08-10 11:20:25 UTC+0000
0xffff9e8b8b0f1080 msedgewebview2         6084   1576     19        0      1      0 2023-08-10 11:20:25 UTC+0000
0xffff9e8b8cd89080 svchost.exe             936   7436      0 --------      1      0 2023-08-10 11:22:31 UTC+0000   2023-08-10 11:27:51 UTC+0000
0xffff9e8b8c7430c0 svchost.exe            8560    788      7        0      0      0 2023-08-10 11:24:26 UTC+0000
0xffff9e8b914f0300 MsMpEng.exe            3136    788     10        0      0      0 2023-08-10 11:24:47 UTC+0000
0xffff9e8b8c4020c0 svchost.exe            9088    788      2        0      0      0 2023-08-10 11:26:32 UTC+0000
0xffff9e8b8a04f340 svchost.exe            6344    788      4        0      0      0 2023-08-10 11:26:32 UTC+0000
0xffff9e8b92987300 svchost.exe            1244    788      5        0      0      0 2023-08-10 11:26:35 UTC+0000
0xffff9e8b8afda300 cmd.exe                8260    936      2        0      1      0 2023-08-10 11:27:15 UTC+0000
0xffff9e8b92c65300 conhost.exe            1668   8260      3        0      1      0 2023-08-10 11:27:15 UTC+0000
0xffff9e8b8775c080 ShellExperienc         2240    928     11        0      1      0 2023-08-10 11:27:30 UTC+0000
0xffff9e8b8cb62080 RuntimeBroker.         3616    928      6        0      1      0 2023-08-10 11:27:38 UTC+0000
0xffff9e8b90ec9080 audiodg.exe            1908   2740      5        0      0      0 2023-08-10 11:27:38 UTC+0000
0xffff9e8b9a26d080 ApplicationFra         5232    928      3        0      1      0 2023-08-10 11:27:42 UTC+0000
0xffff9e8b8cf91080 svchost.exe            7904    788      3        0      0      0 2023-08-10 11:27:43 UTC+0000
0xffff9e8b926e7300 svchost.exe            6000    788      2        0      0      0 2023-08-10 11:27:43 UTC+0000
0xffff9e8b8ca65300 svchost.exe            5196    788      3        0      0      0 2023-08-10 11:27:43 UTC+0000
0xffff9e8b911e3080 svchost.exe            9724    788      4        0      0      0 2023-08-10 11:28:20 UTC+0000
0xffff9e8b8a33e080 svchost.exe            6224    788      4        0      0      0 2023-08-10 11:28:46 UTC+0000
0xffff9e8b8b742080 SearchProtocol         8428   8680      7        0      0      0 2023-08-10 11:29:25 UTC+0000
0xffff9e8b87762080 svchost.exe            6812   7436      3        0      1      0 2023-08-10 11:30:03 UTC+0000
0xffff9e8b8b6ef080 cmd.exe                4364   6812      1        0      1      0 2023-08-10 11:30:57 UTC+0000
0xffff9e8b89ec7080 conhost.exe            9204   4364      3        0      1      0 2023-08-10 11:30:57 UTC+0000
0xffff9e8b92fda080 SearchFilterHo         9784   8680      4        0      0      0 2023-08-10 11:31:32 UTC+0000
0xffff9e8b8aa66080 RamCapture64.exe       2776   7436      5        0      1      0 2023-08-10 11:31:52 UTC+0000
0xffff9e8b91cda080 conhost.exe            9816   2776      6        0      1      0 2023-08-10 11:31:52 UTC+0000

但所有进程都是乎是合法的windows进程

接着分析网络连接,在8888端口发现可疑的活动,但并没有看到它的PID(与侦听端口 8888 的攻击者的反向 TCP 连接)

1
vol.py -f 20230810.mem --profile=Win10x64_19041 netscan

image-20240409202942763

有关网络活动的更精确信息,我们使用 Volatility 3 中的插件:netstat

1
vol.py -f 20230810.mem windows.netstat

image-20240409221816992

对网络连接的进一步分析揭示了与进程相关的可疑活动:

  • 进程名称:svchost.exe
  • 进程 ID (PID):6812
  • 连接:连接是在 TCP 端口 8888 上建立的,标准 Windows 服务不常用该端口。

TASK 2

题目:SOC 团队认为,恶意进程可能会生成另一个进程,使威胁参与者能够执行命令。该子进程的进程 ID 是什么?

需要进一步调查进程 6812,以确定它是否确实是恶意流量的来源,并采取适当的措施来减轻威胁。

为了调查由可能受到入侵的 svchost.exe 进程生成的子进程,我们将使用插件,该插件可视化了进程之间的父子关系:pstree

1
vol.py -f 20230810.mem --profile=Win10x64_19041 pstree | grep 6812

image-20240409222045577

答案:4364

TASK 3

题目:逆向工程团队需要恶意文件样本进行分析。SOC 经理指示你查找文件的哈希值,然后将示例转发给逆向工程团队。恶意文件的 md5 哈希值是多少?

我们知道恶意进程是svchost.exe因此,让我们再次使用 pstree 搜索生成此恶意进程的父进程,并通过父 PID(PPID 位于 PID 旁边)搜索7436

1
vol.py -f 20230810.mem --profile=Win10x64_19041 pstree | grep 7436

image-20240409222434863

启动的事实尤其令人震惊,负责桌面和文件管理的 Windows 程序也是如此。它通常不会生成进程。这表明用户可能意外执行了恶意代码,导致生成虚假或受损的 .svchost.exe``explorer.exe``explorer.exe``svchost.exe``svchost.exe

查看cmd历史

让我们在 CMD 历史记录中搜索,看看假svchost.exe是否在那里执行,让我们使用插件cmdline

1
vol.py -f 20230810.mem --profile=Win10x64_19041 cmdline | grep svchost.exe

image-20240409222632023

我们可以注意到,所有svchost.exe进程都是从 System32 目录生成的,但最后一个进程 ID 为 6812 的进程是从 Simon 的用户下载目录执行的

因此,让我们转储位于 downloads 目录的 svchost.exe 文件,为此我们将转储与恶意进程 ID 6818 相关的所有文件,为此我使用 Volatility 3

1
2
3
4
5
6
7
8
9
10
vol3 -f ../20230810.mem windows.dumpfiles.DumpFiles --pid 6812

...
...
...
file.0x9e8b8a4e4270.0x9e8b8a656d00.ImageSectionObject.mpr.dll.img
file.0x9e8b8ae25140.0x9e8b8a7e5a20.ImageSectionObject.cscapi.dll.img
file.0x9e8b8b0708b0.0x9e8b8a2a3d20.ImageSectionObject.wininet.dll.img
file.0x9e8b91ec0140.0x9e8b90819750.DataSectionObject.svchost.exe.dat
file.0x9e8b91ec0140.0x9e8b957f24c0.ImageSectionObject.svchost.exe.img

我们得到了很多,但最后一个是我们想要的,直接使用md5sum

1
2
md5sum file.0x9e8b91ec0140.0x9e8b957f24c0.ImageSectionObject.svchost.exe.img
5bd547c6f5bfc4858fe62c8867acfbb5  file.0x9e8b91ec0140.0x9e8b957f24c0.ImageSectionObject.svchost.exe.img

答案:5bd547c6f5bfc4858fe62c8867acfbb5

TASK 4

题目:为了找到事件的范围,SOC 经理部署了一个威胁搜寻团队,以扫荡整个环境,以寻找任何入侵迹象。如果您能够确认 C2 IP 地址和端口,这将对团队有很大帮助,以便我们的团队可以在扫描中利用这些地址和端口。

同问题一的IP和8888端口

答案:13.127.155.166:8888

TASK 5

题目:我们需要一个时间表来帮助我们确定事件范围,并帮助更广泛的 DFIR 团队进行根本原因分析。您能否确认该过程的执行时间和建立 C2 通道的时间?

同题目一,后面有时间戳

答案:10/08/2023 11:30:03

TASK 6

题目:恶意进程的内存偏移量是多少?

1
vol.py --profile=Win10x64_19041 -f 20230810.mem pslist | grep 6812

image-20240409225037812

答案:0x9e8b87762080

TASK 7

题目:您成功分析了内存转储,并获得了经理的表扬。第二天,您的经理请求更新恶意文件。您检查 VirusTotal 并发现该文件已上传,可能是由逆向工程团队上传的。任务是确定样本首次提交到 VirusTotal 的时间。

把在task 4中获得的md5放到VirusTotal里面搜索,就能得到提交时间

![image-20240409225648663]image-20240409225648663.png)

答案:10/08/2023 11:58:10

#HTB
RogueOne
https://www.mrdang.icu/2024/04/01/RogueOne/
作者
Mr.Dang
发布于
2024年4月1日
许可协议